La Federal Trade Commission (FTC) ha recentemente emesso un parere in cui si afferma – o meglio, si conferma – che la società di analisi dei dati e consulenza Cambridge Analytica si è impegnata in pratiche ingannevoli per raccogliere informazioni personali di milioni di utenti di Facebook per finalità di profilazione e targeting degli elettori. La opinion ha inoltre rilevato che Cambridge Analytica ha dichiarato il falso in relazione alla sua adesione al Privacy Shield.

La FTC aveva avviato nel luglio 2019 una procedura di contestazione amministrativa in cui sosteneva che Cambridge Analytica, l’allora amministratore delegato Alexander Nix, e lo sviluppatore di app Aleksandr Kogan, avevano ingannato i consumatori. Nix e Kogan hanno collaborato con l’autorità, concordando la risoluzione della controversia con la FTC. Cambridge Analytica, che ha presentato istanza di fallimento nel 2018, non ha risposto alle accuse.

La contestazione amministrativa sosteneva che Kogan avesse cooperato con Nix e Cambridge Analytica per consentire alla GSRApp – sviluppata da Kogan stesso – di raccogliere i dati del loro profilo Facebook degli utilizzatori e anche quelli dei loro amici su Facebook. Agli utenti dell’app – secondo la FTC – era stato detto che l’app non avrebbe raccolto i loro nomi o altre informazioni identificative, ma la GSRApp collezionava la Facebook User ID degli utenti che collega le persone ai loro profili Facebook.

La FTC aveva anche contestato la falsità delle dichiarazioni di Cambridge Analytica allorché garantiva agli utenti che la società fosse aderente al USA/UE Privacy Shield ossia a quel programma che, a fronte di determinate misure di tutela, consente alle aziende di trasferire lecitamente i dati degli interessati dai paesi dell’Unione Europea agli Stati Uniti. La certificazione Privacy Shield di Cambridge Analytica era scaduta, motivo per cui non solo la società non avrebbe dovuto più fregiarsene ma non avrebbe nemmeno potuto trasferire ulteriormente le informazioni personali raccolte durante la partecipazione al programma senza apposita comunicazione al Dipartimento del Commercio, che mantiene l’elenco dei partecipanti, che assicurasse il mantenimento tutele del Privacy Shield ai quei data transfer.

Nel suo parere, la Commissione ha riscontrato che Cambridge Analytica ha violato lo FTC Act attraverso il comportamento ingannevole che gli era stato contestato nella contestazione amministrativa. L’ordine finale proibisce a Cambridge Analytica di presentare dichiarazioni false in merito al modo con cui protegge la privacy e la riservatezza delle informazioni personali, nonché la sua partecipazione al Privacy Shield. Inoltre, secondo la FTC, la società è tenuta a continuare ad applicare le protezioni Privacy Shield alle informazioni personali raccolte durante la partecipazione al programma (o a fornire altre tutele adeguate previste dalla legge), oppure a restituire o eliminare le informazioni. Deve inoltre eliminare le informazioni personali raccolte tramite GSRApp.

Si aggiunge quindi un altro tassello in merito alla vicenda Facebook/Cambridge Analyitca. Nel corso del 2019 la FTC aveva punito il social network di Cupertino con una multa da 5 miliardi di dollari mentre il Garante Privacy italiano aveva emesso sanzione da 1 milione di euro per trattamento illecito dei dati dei 57 utenti italiani coinvolti.